Pergunta : Melhor prática restrita dos grupos

Nós atualmente estamos migrando todos nossos usuários à nuvem e strenghthening nossa segurança em nossos usuários e temos alguns questions.

Our Setup: o

I começou utilizar grupos restritos na política do grupo para dar direitas do admin aos grupos de usuários (os usuários de base de dados permitem que o DB Admins e Admins controle, os servres da correia fotorreceptora permitem a correia fotorreceptora Admins e Admins, etc…) que o

I tem esta instalação como segue: o

- cria um grupo a base de dados Users
- da política que Unlink usuários autenticados da política do grupo, o
- dos usuários de base de dados do grupo de segurança local da ligação (os membros são usuários de base de dados) cria o

In de Admins da base de dados do grupo de segurança local (os membros são clientes do administrador de base de dados) a política do grupo eu adicionei o grupo de Admins da base de dados e nossos admins accounts.

We da companhia estão começ à necessidade do ponto I de rethink meu procedimento e executar agora o ou o sustento o que eu estou fazendo e adicioná-los a it.

We estarão tendo usuários em cidades múltiplas na nuvem e eu quero setup políticas do grupo para permitir que somente os admins locais da cidade tenham o controle destes os usuários, os admins específicos (o DB Admins - será nação dispersada largamente), e o

If dos admins (quem podem administrar tudo) mim criam uma política do grupo e uns grupos de segurança local pertencendo para cada encenação (apenas como o DB Admins é já) um trunfo outro? o

What seria uma boa maneira de fazer isto? o

If que eu começo executar uma maneira nova mim precisa de recarregar os usuários? Eu não estou supor nenhum…

Just que procura a entrada em como nós devemos ir aproximadamente this. class= do

Resposta : Melhor prática restrita dos grupos

Olá!,

As políticas restritas dos grupos não fundirão… Eu significo, se você cria diverso GPOs que contem ajustes restritos dos grupos para controlar o mesmo grupo local, o último GPO aplicado overwrites o que o precedentes fizeram.

De fato, uma força restrita da política do grupo o índice de um grupo local a combinar exatamente o que seja feito explicitamente no GPO, nada mais, nada menos.

Assim se você quer realmente usar grupos restritos para alcangar seu objetivo você deve assegurar-se de que para um grupo local específico somente UM GPO se aplique em cada usuário e que força de GPO o índice inteiro do grupo local.

Você pode usar diversos grupos restritos GPO para controlar diversos grupos locais até que 2 dos estes GPOs nunca actuem um o mesmo grupo local.

Se eu compreendi bem seu caso que você quer alguns grupos globais específicos ser membro da dependência do grupo local do Admin da posição, o outro grupo global específico se o usuário é o membro do “do grupo dos computadores dos usuários DB”…
Em minha opinião isto parece impossível de obter por uma maneira razoável using grupos restritos, porque você seria força para ter um GPO para cada combinação de posição e de classe do usuário.
E mais classes do usuário você tem menos que é possível porque o número de combinações é exponencial.

Em minha opinião, somente scripting pode dar-lhe uma boa solução. Deixar-nos imaginar isso:

1) você tem um primeiro GPO conter um certificado startup que remova todos os grupos globais nos “administradores” e adicione o grupo global dos admins incorporados somente.
2) você tem uns outros GPO conter um certificado startup que adicionem o grupo global dos admins da cidade na dependência do grupo local dos “administradores” do local do ANÚNCIO (exemplo: um GPO por o local do ANÚNCIO ou somente um GPO mas com a dependência do certificado actuando diferentemente do local do ANÚNCIO).
3) você tem um terceiro GPO que adicione do “o grupo global dos admins DB” ao grupo local dos “administradores”.
4) você tem um quarto GPO que adicione da “o grupo global dos admins correia fotorreceptora” ao grupo local dos “administradores”.

Então você faz coisas na prioridade de GPO de modo que o primeiro GPO seja aplicado no início.
Para o terceiro GPO você usa o grupo que filtra para aplicar GPO somente se o usuário é membro do “de usuários DB”
Para o quarto GPO você usa o grupo que filtra para aplicar GPO somente se o usuário é membro de “web server”
A ordem de aplicação entre ò, ó e ô GPOs não é importante porque estes certificados adicionam somente membros novos em “administradores” e não removem nada

Uma outra maneira é ter um certificado original que faça testes das sociedades e actue diferentemente dependência da sociedade do usuário. Isto simplifica a estrutura de GPO mas faz o certificado mais complicado.

O problema se você usa scripting é que “os certificados startup” funcionam somente uma vez na partida do usuário. Assim as mudanças em grupos dos “administradores” somente aplicar-se-ão ou reaplicar-se-ão na repartição.

Ter um bom dia.

Outras soluções

Perguntas da entrevista do certificado de Shell da festança

Como encontrar a contagem da fileira em Oracle DataReader em ASP.NET?

Excitador do bluetooth BCM2045 do inspiron 1720 de Dell para o profissional de Windows Xp.

Como conseguir o lightbox mostrar sobre a bandeira instantânea?

Fora do escritório o assistente que não trabalha w/Forwarding configurou

Redistribuindo o RASGO em subnets non-contiguous do OSPF.

líquidos de corpo após a sessão da natação

Criando um vbscript para a chave do registro - IRPStackSize